Mandiant、「ドレイナー・アズ・ア・サービス」グループによるXアカウント乗っ取りの調査結果を報告
(情報源:BleepingComputer – January 10, 2024)
サイバーセキュリティ企業Mandiantが、先週同社のX(旧Twitter)アカウントがドレイナー・アズ・ア・サービス(Drainer-as-a-Service/DaaS)グループによって乗っ取られたことについて報告。これと併せて、同グループが人々の暗号資産を騙し取る目的で2023年12月から実施している詐欺キャンペーンの詳細についても共有した。
Mandiantアカウントのハイジャック
MandiantのXアカウントが乗っ取られたのは1月3日。元のユーザー名「@mandiant」は「@phantomsolw」に変更され、暗号ウォレット「Phantom」を装った偽ツイートが投稿された。このツイートには暗号資産を盗み取るフィッシングページへのリンクが掲載されており、Mandiantのフォロワー123,000人超がこのページへリダイレクトされてしまったという。なお調査の結果、乗っ取りはパスワードブルートフォース攻撃によって達成された可能性が高いことがわかっている。
ウォレットドレイナー「CLINKSINK」
Mandiantの調査により、攻撃者は暗号ウォレットドレイナー「CLINKSINK」を使っていたことが判明している。ドレイナーとは、暗号ウォレットから資金やデジタル資産を盗み取るための悪意あるスクリプトやスマートコントラクト。またMandiantによれば、同じくCLINKSINKを用いて暗号資産Solanaのユーザーから資金やトークンを窃取しようとするキャンペーンが、2023年12月から複数アクターによって実施されているのだという。
CLINKSINKを用いた大規模キャンペーン
このキャンペーンには、CLINKSINKを利用した共通のドレイナー・アズ・ア・サービス(DaaS)に関連するアフィリエイトが少なくとも35人関与していたとされる。アフィリエイトはDaaS運営者からCLINKSINKドレイナーのスクリプトを受け取り、乗っ取ったXアカウントやDiscordアカウントを使ってPhantomやDappRadar、BONKになりすましたフィッシングページを拡散する。
トークンを無料でもらえる(エアドロップ)という文句に乗せられてこうしたページを訪れたターゲットユーザーは、エアドロップを申請するには暗号ウォレットを紐付けるよう要求されるが、指示に従うと実際にはCLINKSINKによって資金を吸い取られてしまう。アフィリエイトはドレイナーの提供を受ける代わりに、盗み取った資金の20%を運営者に支払うことになっている。
このキャンペーンにより、最低でも90万ドル相当の資産が盗まれたとMandiantは推定しているという。
Xアカウントの乗っ取りは今年初めから頻発
今年初めから、Xの認証済みアカウントが乗っ取られ、暗号資産詐欺やドレイナーへのリンクの拡散に使用されるというケースが頻発している。つい昨日も、米証券取引委員会(SEC)のアカウントが侵害されたという報道があったばかり。またこれ以前には、NetgearやHyundai MEA、Web3セキュリティ企業CertiKのXアカウントが、ドレイナーをプッシュする偽の暗号資産サイトを宣伝するために乗っ取られているとのこと。
1月11日: その他のサイバーセキュリティ関連ニュース
CVE-2023-41056:Redisにリモートコード実行の脆弱性
securityonline.info – January 10, 2024
Redisにおいて最近、深刻度の高い脆弱性CVE-2023-41056の存在が発覚。これはRedis内でのメモリバッファのサイズ変更が不適切に処理されることに起因し、バッファサイズのミスカウントに繋がり得る脆弱性で、最悪の場合ヒープオーバーフローやリモートコード実行を可能にする恐れがある。
CVSSスコアは8.1で、影響を受けるRedisのバージョンは7.2.xシリーズを含む7.0.9以降のバージョンと広範。この事実からは、世界各地の大量のRedisサーバーが、重要なデータ構造を不正に改竄されたり盗まれたりするリスクに晒される恐れがあることが示唆されているという。Redisユーザーには、修正版であるバージョン7.0.15および7.2.4へのアップデートを行ってデータ構造の安全を確保することが求められる。